Prävention schafft Sicherheit!

Die Ergreifung von Maßnahmen für einen zuverlässigen Datenschutz innerhalb von Organisationen geschieht nicht grundlos. Sie dienen einer gezielten Absicherung gegen eine ganze Reihe an Risiken. Eines der Kernziele ist die Vermeidung von Verstößen gegen den Datenschutz, denn sollte solch ein Fall eintreten, müssen die Verantwortlichen mit ernsthaften Konsequenzen rechnen.

Noch immer gibt es zahlreiche Geschäftsführer sowie weitere Entscheider, die sowohl die eigentlichen Risiken als auch die Konsequenzen maßgeblich unterschätzen. Dabei kann es vergleichsweise leicht zu einem Datenmissbrauch oder zu einer anderen Form von Verstoß kommen. Aufgrund des meist erheblichen Einsatzes von Informationstechnologie besteht das Risiko, dass selbst kleine Fehler gravierende Folgen nach sich ziehen.

Beispiel: So schnell kommt es zum Verstoß

Ein ganz typisches Beispiel für unabsichtlich begangene Datenschutzverstöße sind falsch aufgesetzte E-Mail Verteiler. Es kommt häufiger vor, dass Unternehmen ihre Newsletter fehlerhaft versenden, indem sie die einzelnen Empfänger sichtbar mit übermitteln und somit erkenntlich ist, wer die E-Mail ebenfalls erhalten hat.

Die Folgen eines Verstoßes gegen den Datenschutz

Es ist zwischen zwei Arten von Konsequenzen zu unterscheiden. Zum einen ist zu bedenken, dass bei einem Verstoß gegen den Datenschutz eine Schädigung der Reputation droht. Ein solcher Schaden kann immense Auswirkungen haben, weil beispielsweise Kunden zu Mitbewerbern wechseln oder Partnerunternehmen bestehende Kooperationen auflösen.

Zum anderen drohen unmittelbare finanzielle Konsequenzen. Betroffene, z.B. Kunden oder Mitarbeiter, machen unter Umständen Haftungsansprüche geltend, die das Unternehmen teuer zu stehen kommen. Ergänzend drohen Bußgelder, die von Behörden verhängt werden. Gerade hier wird die Tragweite oftmals unterschätzt. Der Gesetzgeber hat bewusst sehr hohe Bußgeldgrenzen definiert, um somit eine möglichst gute Umsetzung von Maßnahmen zum Datenschutz zu gewährleisten.

Ein Blick auf die Bußgeldvorschriften

Sämtliche Einzelheiten rund um Verstöße und damit in Verbindung stehende Bußgelder sind im Bundesdatenschutzgesetz (BDSG) festgehalten. Einzelheiten im Bezug auf konkrete Sanktionen sind den Paragraphen §43 und §44 zu entnehmen. Während ersterer die Bußgeldvorschriften regelt, bestimmt §44 die so genannten Strafvorschriften. Diese besagen, dass ein Verstoß gegen den Datenschutz mit einer Freiheitsstrafe von bis zu zwei Jahren geahndet werden kann. Die Bußgeldvorschriften des BDSG unterscheiden zwischen Verstößen, die mit bis zu 50.000 Euro und bis zu 300.000 Euro geahndet werden können.

Geldbußen von bis zu 50.000 Euro

  • Verstoß gegen die Meldepflicht.
  • Verstoß gegen eine Anordnung der zuständigen Aufsichtsbehörde.
  • Fehlende, verspätete oder nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten – sofern eine Verpflichtung durch das BDSG besteht.
  • Fehlende Protokollierung bei automatisierten Verfahren des Datenabrufs.
  • Fehlende Widerrufsbelehrung bei einer werblichen Ansprache
  • Verstoß gegen die Zweckbindung bei übermittelten Daten.
  • Verstoß gegen die Dokumentationspflichten bei Datenübermittlung zu Geschäftszwecken.
  • Ausbleibende, verspätete, unvollständige oder falsche Auskunft gegenüber einem Betroffenen.
  • Erfassung personenbezogener Daten gegen den Willen des Betroffenen.

Geldbußen von bis zu 300.000 Euro

  • Unbefugte Erhebung und Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind.
  • Unbefugte Bereithaltung personenbezogener Daten für automatisierte Abrufverfahren, die nicht allgemein zugänglich sind.
  • Unbefugter Abruf personenbezogener Daten in automatisierten Verfahren, die nicht allgemein zugänglich sind.
  • Erschleichen einer Übermittlung personenbezogener Daten (die nicht allgemein zugänglich sind) im Abrufverfahren aufgrund unrichtiger Angaben.
  • Nutzung personenbezogener Daten zum Zwecke der Werbung, Markt- und Meinungsforschung, trotz Widerspruch durch den Betroffenen
  • Nicht erfolgte, unwahre, unvollständige oder verspätete Meldung nach §42a Satz 1 (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten)

Fazit: Datenmissbrauch und anderen Verstößen gezielt vorbeugen

Angesichts der zahlreichen Risiken ist es entscheidend, die Prozesse innerhalb der Organisation hinsichtlich ihrer Datensicherheit abzustimmen und zu überwachen. Ein professionell installierter Datenschutz stellt sicher, dass es gar nicht erst zu Verstößen kommt.

Hierfür ist es erforderlich, maßgeschneiderte Lösungen zur Absicherung zu ergreifen. Zudem gilt es einen Datenschutzbeauftragten zu bestellen. In Abhängigkeit von der jeweiligen Ausgangssituation sowie bei Änderungen der Prozesse kann es außerdem hilfreich sein, eine ergänzende Datenschutzberatung in Anspruch zu nehmen.

Einblicke in aktuelle Datenschutzvorfälle finden Sie in dem „Projekt Datenschutz“. Eine Übersicht von Fällen hinsichtlich Datenpannen und Datenmissbrauch.